Google警告制造商，修改Android内核将带来更多潜在的安全漏洞

Google警告制造商，修改Android内核将带来更多潜在的安全漏洞

日前，Google Project Zero发布警告，称如果三星继续修改Android中的内核源代码，则可能带来更多潜在的安全漏洞。

发出此警告的原因是，诸如Samsung之类的Google Project Zero在修改Android内核源代码方面存在一个非常普遍的问题。通常，制造商会修改Android内核源代码以添加自定义驱动程序，但这也会导致许多内核安全漏洞直接失败。

研究人员已经发现三星定制的Android系统中存在潜在的安全问题，而Google已警告制造商不要这样做。因此，基于Linux的基于Android操作系统的开发在内核方面是相同的，并且内核本身非常复杂，需要多个开发人员进行维护。

Google发现，三星将在解决某些安全漏洞时添加自定义驱动程序，而这些驱动程序尚未得到内核开发人员的审查。尽管三星没有义务提交添加的上游和下游代码进行审查，但三星定义的这些驱动程序允许硬件直接访问内核。

如果没有通用验证，这可能会导致内核安全功能失败，从而增加与内核部分内存损坏相关的安全错误。也就是说，尽管这种修复方法似乎确实可以修复一些已知的安全漏洞，但在不知不觉中会导致一些尚未发现的漏洞。实际上，Google还花费大量时间在Android系统的内核级别进行调整。它基于Linux内核和Android系统，添加了安全功能。

制造商修改Android内核将浪费Google甚至Linux内核项目团队的工作，并使大多数Android用户面临安全风险。反过来，当出现新的安全漏洞时，三星等制造商则需要花费时间来修复它们，然后此补丁可能会带来新的漏洞。

因此，Google Project Zero的研究人员提醒制造商遵循标准的维修程序，否则，Android系统将是不安全的。

https://www.linuxboy.net/topicnews.aspx?tid=11

linuxboy的RSS地址：https://www.linuxboy.net/rssFeed.aspx

本文永久更新链接地址：https://www.linuxboy.net/Linux/2020-02/162354.htm